« 電子政府の利用促進が急務 | トップページ | 政府機関統一基準の設計理念 »

2006年7月 6日 (木)

委託先におけるISMS認定の意味

JIPDEC から以下のガイドラインが公開されました。

制度の概要、認証基準及びガイド一覧
 の中の
外部委託におけるISMS適合性制度の活用方法

ガイドラインには長々と書いてありますが、何が言いたいかを簡潔にいうと・・・

委託先(下請け)に「ISMS 認定を取得していること」というだけの契約条件を課しているのではダメですよ。
ということです。

意味のあるものにするには、「適用範囲定義書」に記載された内容を確認しなければなりません。

意外にも、「ISMS 認定を取得していること」という不毛な規程を設けている委託元が多いため、わざわざガイドラインとして用意されました。
無意味な規程にならないような、規程の書き方の例としては、政府機関統一基準を参考にすることができます。


なぜ、統一基準で言及した上に、ガイドラインまで用意して理解を促そうとしているかということについては、

委託業務における委託元と委託先の関係

で解説をしていますので、参考にしてください。


これだけ、しつこく資料を用意したわけですから、今日以後は、下請けに対して「ISMS 認定を取得していること」とだけ要求する委託元は、自ら「当社は情報セキュリティ対策に責任を持つつもりはありません」と宣言しているのと同じです。
そうではなく、ISMSを有効に活用するために、委託する業務が適用範囲定義書に明記されるように求めるのならば、それを求めるか否かによって、それなりの対価を支払う必要があるということについて自覚していなければなりません。

そうしなければ、無責任の連鎖は止まらないのですから。。。

7月 6, 2006 |

トラックバック


この記事へのトラックバック一覧です: 委託先におけるISMS認定の意味:

コメント

コメントを書く